Samba PDC+LDAP+DHCP на ALT Linux 5.0 server?

[bazhen]

Доброе время суток!

Уважаемые, у меня настал критический момент перевода виндового домена на новый сервер.
Сеть - порядка 150 машин WinXP со статическими ip, живут в самбовом домене, без лдапа, всё это добро на альт-мастере, емнип 2.4 (если не 2.2 вообще:).

Вопрос такой - насколько сложно будет поднять всё это на сервер p5, только еще с лдапом и раздачей ip-адресов win-клиентам по dhcp? перетаскивать учетки - некритично, структура групп и пользователей всё равно поменялась. У кого-нибудь есть положительный опыт Samba PDC + LDAP + DHCP на ALT Linux 5.0 server? Хотелось бы поменьше прыгать с бубном и не наступать на известные грабли.

Заранее спасибо за посылы в нужном направлении.

[Skull]

Для линуксовых машин с дистрибутивами p5 будет работать из коробки. С виндовыми придётся ручками поработать. Поставьте на стенд и посмотрите.

[greyzy]

Очень сложно. Местные гуру не признаются, как устроен ldap в альтсервер 5.0. Он хитро преднастроен, и так просто не разберешься. В этом вся загвоздка, остальное как везде :)

[dubrsl]

Доброе время суток!

Уважаемые, у меня настал критический момент перевода виндового домена на новый сервер.
Сеть - порядка 150 машин WinXP со статическими ip, живут в самбовом домене, без лдапа, всё это добро на альт-мастере, емнип 2.4 (если не 2.2 вообще:).

Вопрос такой - насколько сложно будет поднять всё это на сервер p5, только еще с лдапом и раздачей ip-адресов win-клиентам по dhcp? перетаскивать учетки - некритично, структура групп и пользователей всё равно поменялась. У кого-нибудь есть положительный опыт Samba PDC + LDAP + DHCP на ALT Linux 5.0 server? Хотелось бы поменьше прыгать с бубном и не наступать на известные грабли.

Заранее спасибо за посылы в нужном направлении.

1. Не связывайте DDNS+DHCP с самбой. Лучше пусть оно будет независимо. Т.е. можете настроить сначала DDNS+DHCP.
2. Настройка PDC+LDAP. Честно, то не знаю как из коробки настроена самба в р5 и как для этого используется альтератор. Но когда-то я делал по документации smbldap-tools HOWTO. Там все по пунктам расписано.
Там все расписано. Есть даже возможность импортировать пользователей в LDAP.

[Arc]

Работает оно. Насколько я помню: надо только конфиг самбы чуть поправить.
Работают и профили и смена пароля. Пользователей добавляем через альтератор.
С группами небольшая засада. Для нестандартных ssid надо ручками добавлять.

[bazhen]

Очень сложно. Местные гуру не признаются, как устроен ldap в альтсервер 5.0. Он хитро преднастроен, и так просто не разберешься. В этом вся загвоздка, остальное как везде :)

Ага, на грабли с именем домена, отличным от localdomain, я уже наступил:)

[bazhen]

Для линуксовых машин с дистрибутивами p5 будет работать из коробки. С виндовыми придётся ручками поработать. Поставьте на стенд и посмотрите.

Линуксовых машин в локалке ровно одна:)

[bazhen]

1. Не связывайте DDNS+DHCP с самбой. Лучше пусть оно будет независимо. Т.е. можете настроить сначала DDNS+DHCP.
2. Настройка PDC+LDAP. Честно, то не знаю как из коробки настроена самба в р5 и как для этого используется альтератор. Но когда-то я делал по документации smbldap-tools HOWTO. Там все по пунктам расписано.
Там все расписано. Есть даже возможность импортировать пользователей в LDAP.

Если samba+ldap не заработает, в dhcp особой нужды не будет, так что начну пожалуй с самбы:)

[bazhen]

Работает оно. Насколько я помню: надо только конфиг самбы чуть поправить.
Работают и профили и смена пароля. Пользователей добавляем через альтератор.
С группами небольшая засада. Для нестандартных ssid надо ручками добавлять.

А добавление самба-пользователей через альтератор точно работает?
И поле sambaProfilePath в ldap-записи добавляется?

[Arc]

Работает оно. Насколько я помню: надо только конфиг самбы чуть поправить.
Работают и профили и смена пароля. Пользователей добавляем через альтератор.
С группами небольшая засада. Для нестандартных ssid надо ручками добавлять.

А добавление самба-пользователей через альтератор точно работает?
И поле sambaProfilePath в ldap-записи добавляется?

Вот сейчас сижу и добавляю.

sambaProfilePath -- не скажу, добавляется или нет, не знаю. У меня в smb.conf прописано.

[bazhen]

Работает оно. Насколько я помню: надо только конфиг самбы чуть поправить.
Работают и профили и смена пароля. Пользователей добавляем через альтератор.
С группами небольшая засада. Для нестандартных ssid надо ручками добавлять.

А добавление самба-пользователей через альтератор точно работает?
И поле sambaProfilePath в ldap-записи добавляется?

Вот сейчас сижу и добавляю.

sambaProfilePath -- не скажу, добавляется или нет, не знаю. У меня в smb.conf прописано.

Извиняюсь за нескромную просьбу, а конфигом самбы не поделитесь?:)

И еще - а что за засада с группами? Дело в том, что у меня тут непонятная проблема - создал группу domainadmins, замэпил ее на Domain Admins, а члены группы domainadmins так прав доменных администраторов и не получили:( Уф, с этим вроде разобрался - не выставил rid=512, когда мэпил группу.

[bazhen]

Работает оно. Насколько я помню: надо только конфиг самбы чуть поправить.
Работают и профили и смена пароля. Пользователей добавляем через альтератор.
С группами небольшая засада. Для нестандартных ssid надо ручками добавлять.

А в каком направлении нужно править конфиг для смены пароля на клиентских машинах?

На данный момент осталась одна проблема - не меняется доменный пароль пользователя на клиентской машине, при попытке смены пишет "В данное время изменение пароля этой учетной записи невозможно"

Смущает атрибут sambaPwdCanChange=0 в лдап-записи пользователя, это нормально?

Конфиг самбы на всякий случай:

Код: [Выделить]

[global]
dos charset = CP866
unix charset = utf8
display charset = utf8
workgroup = DKVKO
realm = DKVKO.LAN
server string = Samba server on %h (v. %v)
interfaces = 192.168.137.2/24, 127.0.0.1/24
bind interfaces only = Yes
map to guest = Bad User
passdb backend = ldapsam:ldap://127.0.0.1/
passwd chat debug = Yes
use kerberos keytab = Yes
log file = /var/log/samba/log.%U.%m.%G.%I
max log size = 50
max xmit = 64000
time server = Yes
unix extensions = No
socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 SO_RCVBUF=64000 SO_KEEPALIVE
printcap name = cups
logon path =
logon drive = x:
logon home = \\%L\vol1
domain logons = Yes
os level = 64
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
ldap admin dn = cn=ldaproot,dc=dkvko,dc=lan
ldap group suffix = ou=Group
ldap passwd sync = Yes
ldap suffix = dc=dkvko,dc=lan
ldap user suffix = ou=People
admin users = @domainadmins
hosts allow = 192.168., 127.
use sendfile = Yes

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = @domainadmins
guest ok = Yes

[Profiles]
path = /var/lib/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No

[vol1]
path = /mnt/samba/vol1
read only = No
create mask = 0777
directory mask = 0777
use sendfile = No


Кстати, сейчас проверил, smbpasswd из-под пользователя тоже не меняет:

[vbox@arkpdc ~]$ smbpasswd
Old SMB password:
New SMB password:
Retype new SMB password:
machine 127.0.0.1 rejected the password change: Error was : Account restriction.
Failed to change password for vbox

[bazhen]

Добавил в smb.conf

ldap machine suffix = ou=Computers

и смена пароля заработала с клиентских машин.

Еще добавил unix password sync = No, но оно в testparm не отражается и, насколько я помню, при предыдущих попытках эффекта не давало.

Вывод - самба PDC + LDAP работает на арк-сервере практически "из коробки":)

Вот еще вопрос -
как идеологически правильно добавлять учетки для машин?
На данный моммент пользователи вводятся через веб-интерфейс, а машины ввожу
примерно так:

# useradd -g machines -d /dev/null -s /bin/false nit1$ && smbpasswd -am nit1

Это нормально?

[Arc]

Вот где-то так:

Код: [Выделить]


[global]
realm = DOMEN.LCL
netbios name = PDCSRV
server string = PDCSRV.DOMEN.LCL
use kerberos keytab = Yes
log file = /var/log/samba/log.%m
max log size = 50
printcap name = cups
printing = cups
os level = 254
dns proxy = No
name resolve order = wins bcast hosts
use sendfile = Yes
workgroup = DOMEN
security = user
wins support = yes
encrypt passwords = yes
dos charset = 866
unix charset = UTF-8
client use spnego = yes
client signing = yes

nt acl support = yes
acl compatibility = auto
map acl inherit = yes
acl map full control = yes
dos filemode = yes
force unknown acl user = no
map read only = Permissions
enable privileges = yes
obey pam restrictions = no
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=ldaproot,dc=DOMEN,dc=LCL
ldap suffix = dc=DOMEN,dc=LCL
ldap group suffix = ou=Group
ldap user suffix = ou=People
ldap machine suffix = ou=Hosts
ldap idmap suffix = ou=Idmap
ldap passwd sync = Yes
passwd program = /usr/sbin/smbldap-passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
add user script = /usr/sbin/smbldap-useradd -m "%u"
add user script = /usr/sbin/useradd -g Hosts -d /dev/null -s /bin/false -M "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
local master = yes
domain master = yes
preferred master = yes
domain logons = yes

logon path = \\pdcsrv\profiles\%U
logon drive =
logon home =
logon script = logon.bat
admin users = Administrator



[netlogon]
comment = Network Logon Service
path = /domain/netlogon
browseable = no
guest ok = yes
writable = no
write list = Administrator

[profiles]
path = /domain/profiles
browseable = no
read only = no
create mask = 0666
directory mask = 0777
profile acls = yes

#Install
[install]
path = /domain/share/install
browseable = yes
read only = yes
guest ok = yes
public = yes


[blackback]

у меня при добавлении пользователя через альтератор (пытаюсь создать контроллер домена на самбе) выкидывает сообщение:

Код: [Выделить]

[2010/03/31 13:49:27, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:27, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:28, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:28, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:29, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:29, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:30, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:30, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:31, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:31, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:32, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:32, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:33, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:33, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:34, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:34, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:35, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:35, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:36, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:36, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:37, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:37, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:38, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:38, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:39, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:39, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:40, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:40, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:41, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:41, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb [2010/03/31 13:49:42, 0] passdb/secrets.c:fetch_ldap_pw(823) fetch_ldap_pw: neither ldap secret retrieved! [2010/03/31 13:49:42, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb
Домен kmk
Имя сервера server.kmk
ИП 192.168.0.1
Адреса машин до 192.168.0.255 соответственно

конфиг самбы:

Код: [Выделить]

[global]
dos charset = CP866
unix charset = utf8
display charset = utf8
workgroup = kmk
realm = server.kmk
server string = Samba server on %h (v. %v)
interfaces = 192.168.0.1/24, 127.0.0.1/24
bind interfaces only = Yes
map to guest = Bad User
passdb backend = ldapsam:ldap://127.0.0.1/
passwd chat debug = Yes
use kerberos keytab = Yes
log file = /var/log/samba/log.%U.%m.%G.%I
max log size = 50
max xmit = 64000
time server = Yes
unix extensions = No
socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 SO_RCVBUF=64000 SO_KEEPALIVE
printcap name = cups
logon path =.
logon drive = x:
logon home = \\%L\vol1
domain logons = Yes
os level = 64
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
ldap admin dn = cn=root,dc=kmk
ldap group suffix = ou=Group
ldap machine suffix = ou=Computers
ldap passwd sync = Yes
ldap suffix = dc=kmk
ldap user suffix = ou=People
admin users = @domainadmins
hosts allow = 192.168., 127.
use sendfile = Yes

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = @domainadmins
guest ok = Yes

[Profiles]
path = /var/lib/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No

Если закомментировать все строки относящиеся к PDC и LDAP, пользователи добавляются соответствонно нормально.

Кстати используется дистрибутив Школьый сервер 5,0
Контроллер домена для виндовых машин поднять не получается =((
Заранее спасибо за помощь!